№ Кибегпетес: пет 
производительность, 
безопасность И 


Ее докимов Дмитрий 
| ипаег&сто гии \ 


ыы 


Обо мне 


» Основатель и технический директор Шип гу 
® Опытв ИБ более 10 лет 
® СЕР 7егоМ!=11$, ОемОр$Сот 


» Автор статей и бывший редактор рубрик в журнале 
“ХАКЕР” 


° Автор Теезгат-канала “К8$ (т)5есигКу” 
° Автор курса “Сочц4 Майуе безопасность в Кибегпще5$” 


» Не верю, что систему можно сделать надежной и 
безопасной, не понимая ее 


® Докладчик: ВаскНа\т, НТВ, ГегоМ=$, НаскКтРам5, 
СопНаепсе, 5А$, ОРЕГОМЕ, РНБау$, Ка7Васк$ ап, 
ОемОр$Сопт, КибегСопт, УК Кибегпае$ Соптегепсе, 
Н!еп[оа4++ и др. 


Содержание 


» Проблематика: ИТ м5 ИБ 
° Проблемы и решения 
® На уровне кластера 
® На уровне ОС хоста 
® На уровне базовых образов контейнера 
® На уровне сети 


»е Заключение 


вы 


(нь) ННЕоаа"" 


(СомтвУ 
5есигКу $ Узаб Ку — 


(нь) ННоаа*" 


о 


(Сомтяз 
Чем мы будем сегодня заниматься ? 


НЕ) НЕНГоаа"" 
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в Кибегпетес ;) 


Что хочет ИТ и ИБ? 


® ИБ: Отсутствия нарушений конфиденциальности, целостности, доступности 
информации. Контроля рисков, угроз, уязвимостей. Повышения цены 
атаки. 


® Как привыкли делать: создавать/брать уже готовые чек-листы, 
формировать требования и заводить в рамки ИТ 


® ИТ: Наличия быстрой, эффективной, экономичной, надежной системы. 


° Как привыкли делать: искать обходные пути требованиям ИБ*, страдать 
или забивать 


* - если она вообще есть в компании ;) 


(но) ННГоаа"" 
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Примеры проблем 


® Разбор гигантского количества уязвимостей с большим 
количеством Та[5е-ро$Шме-срабатываний 


° Внеплановое/экстренное исправление уязвимостей с 
дополнительными временными и человеческими трудозатратами 


* Сложные процедуры получения доступа и выкатывания 
приложений 


° Ухудшение производительности и потребления ресурсов за счет 
дополнительных средств безопасности и иных средств контроля 


(но) ННЕоаа"" 


-ОмМТРУ 
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Общие интересы 


® Не тратить время друг друга 
® Не грузить друг друга муторной работой 
® С пользой брать вычислительные ресурсы 


° Выровнять скорость обеспечения безопасности до скорости 
доставки нового \ма|ие до клиента 


(но) ННГоаа"" 
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-ОмМТРУ 
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Проблемы на уровне кластера 


® Кластер на команду 
® Высокий уровень изоляции и обособленности 
› Высокая цена 

® Зоопарк кластеров 
° У каждой команды свой уникальный кластер 
® Сложно контролировать и поддерживать 
® СопИвигаНоп агИ 


(но) ННГоаа"" 
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((ЗОМТЮУ 
и 
Платформа на Кибегпщез ыы 


» Компании начали делать платформы, дистрибутивы на базе 
Кибегпете$ 
® Кибегпае$ — это ядро Ипих ХХ|-го века 
® Ми{Кепапсу для изоляции и сегментации 
® Си$ег-а5-а-бег\усе$ 
® Матезрасе-а5-а-ъеглсе$ 
» Сотго|Р|!апе-а5-а-5ег\мсе$ 
» Моде-Базеа 15о!а{оп 


* Примеры проектов: Си$ег АР!, Кибе$ се, Сарзце, Катай, уСи$тег, 
Кто5К, Кср, КибеР|и$ 
(НЕ) Манова" 
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(ЗомтвУ 
Пау-2 поддержка > 


АР! 
ЕЕ В Крот И А ЩИ о ны 


» Ро|су-а5-Со4е 

® Предупреждение и 
предотвращение 

® Мутация и валидация 
ресурсов 


* Пример: Кууегпо, бСа\екеерег 


НЕ) НЕНГоаа"" 
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Проблемы на уровне ОС хоста 


» Использование ОС общего назначения в Кибегпе{е$ кластерах: Битти, 
Оефап, Сеп*О$, Еедога, ... 


Получаем: 

® Разный цикл обновлений 

® Большая поверхность атаки 

» Много возможностей для атакующего 

® Много шума от сканеров уязвимостей 

® Много сотрИапсе требований и контролей (доступ, целостность, ...) 


® СопПвигайоп ами 
(нь) ННЕоаа"" 
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ыы 


Специализированные ОС для контеинеров 


® Созданы для оркестраторов, а не для человека 
» Отсутствие привычных доступов 
» Отсутствие $Пе|| — исключает ряд рисков и угроз 
. Уменьшение вероятности сопйвига оп ат 
® Поддержка оптимальной работы с контейнерами из коробки 
» Минимальный размер 
. Высокая скорость разворачивания 
. Убрано все лишнее 
. Меньше Та|5е-ро$ме-срабатываний сканеров 
» Повышенные требования по ИБ 
» Частые обновления 
» Специальные патчи и конфигурации для ядра 
. КеаЧОп|у-файловая система 


(но) ННГоаа"" 
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Примеры ОС 


Тао$ Иптих 


федога 


СОКЕОЗ 


Еедога Соге0$ 


Тре Кибегпее$ Орегаит$ 5у\ет 


Та!о$ ВоЦегосКе( 


Ипих-Базеа Во${ орегапа сует 
орипте4 {фо гип согбатег$ 


й 


Во егоскКе{ 


т: 


Натсаг Соп{атег Ипих 


соо СО$ 


Соп{атег-Оритйеа 0$ (СО0$ 


(нь) НЕНЕоаа** 
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© ОМТРЮУ 
0$ Та[о$ С 


\\Пат 1$ Тао$ ШМпих? 


Та1о$ Мпих 15 Ипих аез1пед Гог КиБегете$ - зесиге, иптиаЩе, апа 
шийта(. 


» 5ирроп$ с[оиа р{[аМогтз, Баге тека|, апд уиаЙта{оп р{аМогт$ 

» А зу$<{ет тапабетепх 15 допе ма ап АР!. № $$Н, Пе ог сопзо[е 

» РгодисНоп геаду: зирроц$ зоте о{ {Пе [агое${ Кибегтще$ сиз{ег$ 
т {пе мопа 

» Ореп зоигсе рго]ес{ тот {Пе {еат а{ $14его [аб$ 


НЕ) НЕНГоаа"" 
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Базовый и образ контейнера 


Проблемы на уровне базовых образов (5°"ТВ® 
контейнеров 


НЕОТВОН ВАСК 
72 5УН $ТАЯ5 НОЦЕ$ 


Уочг соае 
СопйЙв 
ош 9 О\Пег а 
39 раму ПБгате$ Реоре 
Соде Черепаепсе$ Ла Соде мае КАВИ 
р м/по м/гофе {91$!!! 
Випите дерепадепс!е$ 
Гапечаве гипите НЕАУТЕЗТ 
ОВЗЕСТ$ ТМ ТНЕ 
Ваке ОЛ вуег 6) и МТМЕВ$Е 


При этом помним, что Митега Иез != иитега Е, и это сильно мешает ... 


бе 


20 


_ и 
Проблемы сканеров уязвимостей 


® ОС содержат много лишних, неиспользуемых файлов, которые 
расширяют поверхность атаки (например, $Пе!|) 


» Даже в самых последних версиях образов ОС есть много 
известных уязвимостей 


° Все сканеры выдают разные результаты, и их качество зависит от 
объекта сканирования 


® Отдельная большая болезненная тема, что и как делать с 
этими результатами 


° “Тезитв ОосКег С\Е 5саппег5” [раг* 1, раг" 2, рам 2.5, ра! 3] 


(нь) НЕНЕоаа"* 
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((3ОМТЮУ 
Г] Г] Г] Г] Г] \ л 
Тпу/$Ит/ттита| Итаяе$ че 


. ОеЫап $т — тонкий образ ОС БеШап (Че Б!ап:<зиКе>-$т). 

. Арше — маленький образ на базе ОС Арте Ипих с полным индексом 
пакетов 

. эсгафсй — пустой образ для построения Базе тавйе$ или для образов 
из одного “5{айс” бинаря 

. О1${гое$5 — образы от боозе, ориентированные на определенный 
язык программирования, без ОС 

. СПатриагА |тазе$ — набор инструментов (арКо, те!апве, мо!) и 
образов для создания минималистичных 41${го|е$$-образов 


. Ооскег5Йт — минификатор образа на основе поведения приложений 
в образе 


(но) ННГоаа"" 
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Не все 41${го|е$$ одинаковые 


&егумее Фгож РеБолм 


91$г01е5$/фа{1с 


Бозес| оп 


91$%г01е5$/Базе 


озес оп 


Ч1$го1е$$/сс 


буоос| сиосе; 
- гоо{5 анесюогу Згисиге ($145) 


- /еАсХраз$ма, дгоир, п5мМйсй.соп®} 
- СА сей$ апа итегхопе пюгтаНоп 


ог @о мин ССО 45аЫеа 


- 9Ос, 16$$1, ореп$$1 
-...апа пех дерепаепсе$ 


ог @о ми ССОО епаеа 


- 5дсс1 апа Из дерепаепсе$ ог Ви${, О, апа ай!ке 


Ехрегжефо,! 
41$4г01е5$/по4е]з 415$%г01е5$5/)а\ма 915${го1е5$/ру{Поп3 
91$1г0!е$$/сс + Моде.]$ гипите 91$1г0!е$$/сс + Ореп/ ОК 411г0!е$$/сс + Рупоп и\егргвег 


"\МПаг5 ше ОГа 0151го[е55 Соп{атег таре: ТаКтв а Оеерег 1ооК" 


(Сомтвч 


НЕ) НЕНГоаа"" 
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ыы 


Отладка с помощью Ерпетега! Сопташтег$ 


История: 
. В 1.18 в АрПа 
° В 1.23 в Вща 
Включены по умолчанию 
. В 1.25 в Ча е 


р1Ч патезрасе 1 


тп{ патезрасе 1 


сопфа1тег 


Режимы работы: 
» Кибес| аериве в сочетании с 
5ПагеРгосе$Матезрасе Хх 
» Кибес| аериве с указанием конкретного 
сотатег в РоЧ 
. дериз с копированием целевого 
О И 


Мо <ие|| изае/ 


КоБегиеФех Род 


(5 патезрасе 
1рс патезрасе 
пеф патезрасе 
р патезрасе 2 ра патезрасе 3 


тпф патезрасе 2 


тпф патезрасе 3 


` 
$1десаг } 
сопфа1пег 


ерветега\1 
сопфа1пег 
“Госу” 
моде! 


Тифегос име <ие||/ 


Ериежело| соифозлег | $ КибесеТ деБид -1* ... 
доези% “зее" ргосеззез 
ое 5е 3у$феж$х о офиег 


соифознег®. 


| гоо<@деБид# $5 -Ип 
гоо{@4еБид# р$ аих+ 
гоо{@4еБид# 


Кибегпефе$ Ерпетега| Соптатег$ 


Пример образа Коо!КК$: 
» Моде. 

» РуПоп 

° Со 

° ]ауа 


апа КиБес| аеби? Соттапа" 


(но) ННЕоаа"" 
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, (СОМТРЗ 
Атаки на 91${го|е$$-образы ` 


* Эксплуатация в контейнерах на базе всг.10/415{гое$$/Базе 


® Позволяет читать, писать произвольные файлы и выполнять 
команды 


® Благодаря ищегасИуе соттапа рготр\* от Ореп551 


% аосКег ехес -1+ ето /Б1п/$В 


ОСТ гипЕ1те ехес Фа11е: ехес +а11е4: сопфа1пег_11пих.20:380: зФагЕ1пв 


сопфа1пег ргосез$ саизе4: ехес: "/Б1п/зВ": зфаф /Б1т/зИ: по зисй +11е ог 
41гесфогу: ипКпомп 


% Чоскег ехес -1+ 4ето /изг/Ь1п/ореп$$1 
Ореп$$1> 


Ехр!о тр» 015{го[е5$ |та2е5" ++ 
(но) ННГоаа"" 
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СПашгиага |тадез$ 


А\рте-Базеа 
тазе$ 


| 


о—— Би11а Базе 


| 


“арКо Омегмеми” 


М/о[Я-Базеа 
тазе$ 


НЕ) НЕНГоаЯ"" 
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Сравнение 


Ое ап 
бити 


Ое ап $т 


Арте 
эсга{сп 
15го|е$$/51а{с 
15{го!е5$/Базе 
4151го|е$$/сс 


015го|е$$/сс + 
гипите 


сПпатгцага 


^118МЬ 
^69МЬ 
^74МЬ 


^7МЬ 
ОМЬ 
^2МЬ 
^20МЬ 
^23МЬ 
^54МЬ 


^94МЬ 


74(2/10/1/61) 
21(0/2/6/13) 
74(2/10/1/61) 


0(0/0/0/0) 
0(0/0/0/0) 
0(0/0/0/0) 
13(0/0/2/11) 
13(0/0/2/11) 
56(2/9/10/35)** 


0(0/0/0/0) ** 


* Данные получены сканером Тиму на 18.11.2022 
** Зависит от гипите/содержимого (результат для ру Поп) 


Убрали часть файлов типа «тап разез» и 
«аоситетаНоп» 


Построен на тиз1 ИБс и ВизуВох 


Трудно модифицировать на Ва2е! 
Трудно модифицировать на Ваге! 
Трудно модифицировать на Ва2е! 


Поддержка по@е}з, ]ама, ру{Поп3 


Легко модифицировать, часто обновляется, есть 


$ВОМ, есть подписи 
(нь) НЕНЕоаа"* 
27 
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Проблемы на уровне сети 


® Отсутствие об5егиа Ку происходящего 
» Непонимание, что и как ограничивать 

® Страх негативного влияния на производительность 
® МегмогКРо|су устроит просадки 


» Проблема не в получении доступа, а в отсутствии контроля над 
ней 


» Пока еще мало кто использует Ме\могКРойсу 
® Сложно понять, кто и куда может обращаться, а куда нет 
® Когда Мем/огКРойсу становится много 


(но) ННЕоаа"* 
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Сетевая безопасность 


Порядок применения Ме могКРойсу на СЙит: 
[3+4 ройсу 

.4-оту ройсу 

.3-оту ройсу 

АНом/-аП ройсу (по умолчанию) 

ОКОР ройсу 


о РЕ 


Источник: БрЕ/ПЬ/ройсу.В 


и 1$ Р99.9 (т5) — [99.99 (тз5) — Р100 (т5) 


№ о ройсу (дегаиК) 6413.8 10.9 12.8 14.2 
МИН ройсу (ССМР) 6665 10 12.4 13 


"Тир.сот: Рг${ 5{ер фо\м/ага5 Сочи Мачме $есигку" 


(нь) ННГоаа"" 
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Преимущества Ме \могКРойсу 


® Ускоряем (не замедляем) работу сети 
® Организуем микросегментацию сети 
® его Тги$* 


® Инвентаризируем сетевое взаимодействие через декларативное 
описание 


® Прозрачные ограничения для Оеу-, Ор5-, 5ес-команд 


(но) ННГоаа"" 
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| ря 
А | | | ] | | | | 
| | | | | | | 
| | 
\ | | | | | Е 
мо | | | | 
| ] \ | | | 
| | | | 
| | | 
] | 
| | 
| 


| \ | \ \ | | | | | | 
| 2022 \ \\\\| | 


Чек-лист* по теме** 


К чему надо стремиться при использовании Кибегпще5-кластеров: 
® Ми{Кепапсу 

® Ро|су Епёте 

® Специализированные ОС хоста для контейнеров 

. Тпту/$т/ттита! базовые образы 

® Меймогк Ро|су 


* Не смотрите на это как на серебряные пули 


** Безопасность Кибегпае$ шире: Ащ{НМ/АцН7, Випите $есигку, Ачак 1овете, Сотрйапсе, ... ! 


(нь) ННЕоаа"" 
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Разными словами об одном 
8 а 


. Огспе га оп ое ам 


о $ОА В Тре ацаШу оГуочг огдатхайоп'$ еси! у мл питог 
{ре ацаМу о! {Пе соттитсаНоп Бе{мееп И$ 


» Оес|ага уе арргоасй епопеепд ап4 зеситу бипсйопз 
‚ Ройсу\$есигКу-а5-Со4е 

е ИпШсаНоп 
° Тетр!аипе, |ттиае пазгистиге 

е Орйпттайоп 


Е\уегу 5бесигИу Теат 15 а 5оЯ\маге Теагпп Мо\м/ 


о АНаск си!ГГасе гедисйоп шк 


Тосапоп: Мапда!ау Вау Еуепи$ Сетцег 
Оае: \Медпе$дау, Аидиз! 7 | 9:00ат-10:00ат 


» Мисго зевтещаНоп ВЫ 


Понравилось 1ап Со\м/а(ег ы и 
А!ехапфег ТагазКоу\ 


Ото А. Ба! 2о\! @дтодаго\м: 4 ч 
100% 115. К сап де{ пиапсеа т зресйс 
дейпкюп$ о! рагис\Шаг мога$, Би{ | {пк 
о! Зесищу а$ опе айтепзюп о! Оцайу 
аюпд$ае АуайаБИну, Ре{огтапсе, ес. 
Нерта тсгеазе епдтеетпа таищу т 
\м/ауз {Па{ Бепей{ ОцаШу а!5о Вер уоц 
итргоуе З5есигиу (е.д. СУСО). 


© Атао Тни 2! @супсаес... 9 ч 


ЗесигИу 1$ а зиб5е{ о! ВейаЫИНу: # 
уоцг аез1ап$ Пауе по гейаб Ку 
сопсер{$ {еп уси \/И Вауе зесигиу 
155165. 


А$ $оЙмуаге 15 еаипд Ше мой, еуегу сотрапу 15 Бесотилд а 5оЙмиаге сотрапу. Ти5 доезп’ теап {паг еуегу 


© Ге ГО | Г Ц 51 сотрапу 1$ $ррид $оЙмаге ргодис $, и теап5 (Па! 5егисе$ ап4 ргодис$ т еуегу Пе! аге Бесоттд тсгеауто!у 


4пуеп, ромеге4, апд ЧИТегепцатед Бу $оЙмаге. 1ег$ ехр/оге м/па! {паг мм! до то пом суБегзесигиу 15 ргасисе4 т 


епегри$ез ога! пуре$. 


нь) Ни НЬоаа** 


2022 
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Парадигма ОЕ 


ОЕ: 

. ОУибщед 
‚ штыае 
» Ерпетега| 


#В5АС 


Тре ОЕ Тйад 


Ерветега! 


С.1.А. ТпаЯ 


0.1.Е. Тмаа 


7 узо ®$ЛСоп!егепсе2021 


#ВЗАС 


№м Рага ! 21$ Гог {Пе МехЕ Ега о? $есигКу 


Ега 
\!па Т 41а 1Биу Но\ 4о | Ном до | Кпом пом до | ве{ па Ном до | гесомег 
Соге апа Бом дое$ ® ргемеп{ мтгизез, м/пеп мпеп оЁ {Пе аКаскег {тот а Бгеасв 
зирром {Не пебмк аКаск$ & Чеепзе$ Науме апа ри! оц{ апу апа дезгисйме 
СпаНепвез Бизте$$ пзесиге зуз{ет$ {айед Яге$ Е 
а псепе Оиьщед 
ё 'Аз5е{ М, Ап-\Мги$, ы 
Зои юп$ Зуметз МЕ Агемиаз, бесиге 10$, ЯЕМ а и ВЕ: 
Тоо|$ СопЯв$ 0об5 ( ы рлеега 
$ОАВ) (РЕ!!!) $у$ет$ 
$ЕСИВИТУ 
. (С150) 
ИТ / $есигКу * 
Тепзюоп 5ТАВШИТУ 
(сю) 
5есийу Теат Ну по / 5ес Ор$ Сетег / Оед'са{еа В! СВоо$е Уоиг 
Сотро$Йюп МЕ \/ ТргеаЕ Ме! Оп / В5К МЕЕ О\мп ОезНпу 
& Роси$ 
[| у @зошойуи К5ЛСопЕегепсе2021 


"Меми Рага!т$ Гог {Ле МехЕ Ега о! $есигКу" 


(Сомтвз 


(Сомтв 


Са{е апа Реф 


ОеуОр$ Сопсерф5$: Ре{$ у$. Са е 


Оцг Бе${ соитегтеазиге 15 фо амо!4 ре{ сгеаЧоп ({Па{ 
гедите$ С!А) апа ргото{е са*е сгеаЧоп (Буй то ПЕ) 


НЕ.) ННГоаа"" 
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(Сомтвз 
Заключение > 


® Минимализм снова в моде 
° Унифицируйте свои окружения 
® Боремся со сложностью систем 
® ИБ идет к $е|{-Рго4есйоп 5у{ет 
® ИТ идетк Ап га?! е Зужет 


® ИТи ИБ идут рука об руку 


НЕ) НЕНГоаа"" 
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| Спасибо за внимание!. 
о, й 
_Етпай: че@!ипу.го 

| _Тмикег: @е\уЧоКито\Ч$ 
| евгат! @биЗЬЗс 


' СПаппе" АВА 


НЕ )ненысаа ы 


` 2022 \ 


